Kontrollpaket für die International Traffic in Arms Regulations (ITAR)

Auf dieser Seite werden die Kontrollmechanismen beschrieben, die auf ITAR-Arbeitslasten in Assured Workloads angewendet werden. Sie enthält detaillierte Informationen zur Speicherung von Daten, zu unterstützten Google Cloud Produkten und ihren API-Endpunkten sowie zu allen Einschränkungen für diese Produkte. Für ITAR gelten die folgenden zusätzlichen Informationen:

  • Speicherort von Daten: Das ITAR-Kontrollpaket legt Steuerelemente für den Speicherort von Daten fest, um nur Regionen in den USA zu unterstützen. Weitere Informationen finden Sie im Abschnitt Einschränkungen fürGoogle Cloud-weite Organisationsrichtlinien.
  • Support: Technische Supportdienste für ITAR-Arbeitslasten sind mit erweiterten oder Premium-Abos von Cloud Customer Care verfügbar. Supportanfragen zu ITAR-Arbeitslasten werden an US-Personen in den USA weitergeleitet. Weitere Informationen finden Sie unter Support.
  • Preise: Das ITAR-Kontrollpaket ist in der Premium-Stufe von Assured Workloads enthalten. Dies führt zu einer zusätzlichen Gebühr von 20 %. Weitere Informationen finden Sie unter Preise für Assured Workloads.

Vorbereitung

Damit Sie als Nutzer des ITAR-Kontrollpakets weiterhin gesetzeskonform bleiben, müssen Sie die folgenden Voraussetzungen erfüllen und einhalten:

  • Erstellen Sie mit Assured Workloads einen ITAR-Ordner und stellen Sie Ihre ITAR-Arbeitslasten nur in diesem Ordner bereit.
  • Aktivieren und verwenden Sie nur ITAR-Dienste, die den Vorgaben von ITAR entsprechen, für ITAR-Arbeitslasten.
  • Ändern Sie die Standardwerte für die Einschränkungen von Organisationsrichtlinien nur, wenn Sie die damit verbundenen Risiken für den Datenspeicherort kennen und bereit sind, sie in Kauf zu nehmen.
  • Wenn Sie auf die Google Cloud Console für ITAR-Arbeitslasten zugreifen, müssen Sie eine der folgenden Google Cloud Console-URLs für Gerichtsbarkeiten verwenden:
  • Wenn Sie eine Verbindung zu Google Cloud Dienstendpunkten herstellen, müssen Sie regionale Endpunkte für Dienste verwenden, die diese anbieten. Außerdem gilt:
    • Wenn Sie eine Verbindung zu Google Cloud -Dienstendpunkten von nichtGoogle Cloud-VMs herstellen, z. B. von VMs lokal oder anderer Cloud-Anbieter, müssen Sie eine der verfügbaren Optionen für den privaten Zugriff verwenden, die Verbindungen zu nichtGoogle Cloud -VMs unterstützen, um den nichtGoogle Cloud -Traffic an Google Cloudweiterzuleiten.
    • Wenn Sie eine Verbindung zu Google Cloud Dienstendpunkten von Google Cloud VMs herstellen, können Sie eine der verfügbaren Optionen für den privaten Zugriff verwenden.
    • Wenn Sie eine Verbindung zu Google Cloud VMs herstellen, die mit externen IP-Adressen freigegeben wurden, lesen Sie den Hilfeartikel Auf APIs über VMs mit externen IP-Adressen zugreifen.
  • Speichern Sie für alle Dienste, die in einem ITAR-Ordner verwendet werden, keine technischen Daten in den folgenden Arten von benutzerdefinierten Informationen oder Sicherheitskonfigurationen:
    • Fehlermeldungen
    • Console-Ausgabe
    • Attributdaten
    • Daten zur Dienstkonfiguration
    • Netzwerkpaket-Header
    • Ressourcen-IDs
    • Datenlabels
  • Verwenden Sie nur die angegebenen regionalen oder Standortendpunkte für Dienste, die diese anbieten. Weitere Informationen finden Sie unter ITAR-relevante Dienste.
  • Berücksichtigen Sie die allgemeinen Best Practices für die Sicherheit, die im Google Cloud Center für Sicherheits-Best-Practices bereitgestellt werden.

Unterstützte Produkte und API-Endpunkte

Sofern nicht anders angegeben, können Nutzer über die Google Cloud Console auf alle unterstützten Produkte zugreifen. In der folgenden Tabelle sind Einschränkungen, die sich auf die Funktionen eines unterstützten Produkts auswirken, einschließlich derjenigen, die über Einschränkungen für Organisationsrichtlinien erzwungen werden, aufgeführt.

Wenn ein Produkt nicht aufgeführt ist, wird es nicht unterstützt und erfüllt nicht die Kontrollanforderungen für ITAR. Die Verwendung von nicht unterstützten Produkten wird ohne sorgfältige Prüfung und ohne umfassendes Verständnis Ihrer Verantwortlichkeiten im Rahmen des Modells der geteilten Verantwortung nicht empfohlen. Bevor Sie ein nicht unterstütztes Produkt verwenden, müssen Sie sich über die damit verbundenen Risiken im Klaren sein und diese akzeptieren, z. B. negative Auswirkungen auf die Datenspeicherung oder Datensouveränität.

Unterstütztes Produkt ITAR-konforme API-Endpunkte Einschränkungen
Artifact Registry Regionale API-Endpunkte:
  • artifactregistry.us-central1.rep.googleapis.com
  • artifactregistry.us-central2.rep.googleapis.com
  • artifactregistry.us-east1.rep.googleapis.com
  • artifactregistry.us-east4.rep.googleapis.com
  • artifactregistry.us-east5.rep.googleapis.com
  • artifactregistry.us-east7.rep.googleapis.com
  • artifactregistry.us-south1.rep.googleapis.com
  • artifactregistry.us-west1.rep.googleapis.com
  • artifactregistry.us-west2.rep.googleapis.com
  • artifactregistry.us-west3.rep.googleapis.com
  • artifactregistry.us-west4.rep.googleapis.com
  • artifactregistry.us-west8.rep.googleapis.com

Locational API-Endpunkte werden nicht unterstützt.

Globale API-Endpunkte:
  • artifactregistry.googleapis.com
 Keine
BigQuery Regionale API-Endpunkte:
  • bigquery.us-central1.rep.googleapis.com
  • bigquery.us-central2.rep.googleapis.com
  • bigquery.us-east1.rep.googleapis.com
  • bigquery.us-east4.rep.googleapis.com
  • bigquery.us-east5.rep.googleapis.com
  • bigquery.us-east7.rep.googleapis.com
  • bigquery.us-south1.rep.googleapis.com
  • bigquery.us-west1.rep.googleapis.com
  • bigquery.us-west2.rep.googleapis.com
  • bigquery.us-west3.rep.googleapis.com
  • bigquery.us-west4.rep.googleapis.com
  • bigquery.us-west8.rep.googleapis.com
  • bigquerydatatransfer.us-central1.rep.googleapis.com
  • bigquerydatatransfer.us-central2.rep.googleapis.com
  • bigquerydatatransfer.us-east1.rep.googleapis.com
  • bigquerydatatransfer.us-east4.rep.googleapis.com
  • bigquerydatatransfer.us-east5.rep.googleapis.com
  • bigquerydatatransfer.us-east7.rep.googleapis.com
  • bigquerydatatransfer.us-south1.rep.googleapis.com
  • bigquerydatatransfer.us-west1.rep.googleapis.com
  • bigquerydatatransfer.us-west2.rep.googleapis.com
  • bigquerydatatransfer.us-west3.rep.googleapis.com
  • bigquerydatatransfer.us-west4.rep.googleapis.com
  • bigquerydatatransfer.us-west8.rep.googleapis.com
  • bigquerymigration.us-central1.rep.googleapis.com
  • bigquerymigration.us-central2.rep.googleapis.com
  • bigquerymigration.us-east1.rep.googleapis.com
  • bigquerymigration.us-east4.rep.googleapis.com
  • bigquerymigration.us-east5.rep.googleapis.com
  • bigquerymigration.us-east7.rep.googleapis.com
  • bigquerymigration.us-south1.rep.googleapis.com
  • bigquerymigration.us-west1.rep.googleapis.com
  • bigquerymigration.us-west2.rep.googleapis.com
  • bigquerymigration.us-west3.rep.googleapis.com
  • bigqueryreservation.us-central1.rep.googleapis.com
  • bigqueryreservation.us-central2.rep.googleapis.com
  • bigqueryreservation.us-east1.rep.googleapis.com
  • bigqueryreservation.us-east4.rep.googleapis.com
  • bigqueryreservation.us-east5.rep.googleapis.com
  • bigqueryreservation.us-east7.rep.googleapis.com
  • bigqueryreservation.us-south1.rep.googleapis.com
  • bigqueryreservation.us-west1.rep.googleapis.com
  • bigqueryreservation.us-west2.rep.googleapis.com
  • bigqueryreservation.us-west3.rep.googleapis.com
  • bigqueryreservation.us-west4.rep.googleapis.com
  • bigqueryreservation.us-west8.rep.googleapis.com
  • bigquerystorage.us-central1.rep.googleapis.com
  • bigquerystorage.us-central2.rep.googleapis.com
  • bigquerystorage.us-east1.rep.googleapis.com
  • bigquerystorage.us-east4.rep.googleapis.com
  • bigquerystorage.us-east5.rep.googleapis.com
  • bigquerystorage.us-east7.rep.googleapis.com
  • bigquerystorage.us-south1.rep.googleapis.com
  • bigquerystorage.us-west1.rep.googleapis.com
  • bigquerystorage.us-west2.rep.googleapis.com
  • bigquerystorage.us-west3.rep.googleapis.com
  • bigquerystorage.us-west4.rep.googleapis.com
  • bigquerystorage.us-west8.rep.googleapis.com

Locational API-Endpunkte werden nicht unterstützt.

Globale API-Endpunkte:
  • bigquery.googleapis.com
  • bigqueryconnection.googleapis.com
  • bigquerydatapolicy.googleapis.com
  • bigquerydatatransfer.googleapis.com
  • bigquerymigration.googleapis.com
  • bigqueryreservation.googleapis.com
  • bigquerystorage.googleapis.com
 Betroffene Funktionen
Certificate Authority Service Regionale API-Endpunkte werden nicht unterstützt.
Locational API-Endpunkte werden nicht unterstützt.

Globale API-Endpunkte:
  • privateca.googleapis.com
 Keine
Cloud Composer Regionale API-Endpunkte:
  • composer.us-central1.rep.googleapis.com
  • composer.us-east1.rep.googleapis.com
  • composer.us-east4.rep.googleapis.com
  • composer.us-east5.rep.googleapis.com
  • composer.us-east7.rep.googleapis.com
  • composer.us-south1.rep.googleapis.com
  • composer.us-west1.rep.googleapis.com
  • composer.us-west2.rep.googleapis.com
  • composer.us-west3.rep.googleapis.com
  • composer.us-west4.rep.googleapis.com

Locational API-Endpunkte werden nicht unterstützt.

Globale API-Endpunkte:
  • composer.googleapis.com
 Keine
Cloud DNS Regionale API-Endpunkte werden nicht unterstützt.
Locational API-Endpunkte werden nicht unterstützt.

Globale API-Endpunkte:
  • dns.googleapis.com
 Betroffene Funktionen
Cloud External Key Manager (Cloud EKM) Regionale API-Endpunkte:
  • cloudkms.us-central1.rep.googleapis.com
  • cloudkms.us-central2.rep.googleapis.com
  • cloudkms.us-east1.rep.googleapis.com
  • cloudkms.us-east4.rep.googleapis.com
  • cloudkms.us-east5.rep.googleapis.com
  • cloudkms.us-east7.rep.googleapis.com
  • cloudkms.us-south1.rep.googleapis.com
  • cloudkms.us-west1.rep.googleapis.com
  • cloudkms.us-west2.rep.googleapis.com
  • cloudkms.us-west3.rep.googleapis.com
  • cloudkms.us-west4.rep.googleapis.com
  • cloudkms.us-west8.rep.googleapis.com

Locational API-Endpunkte werden nicht unterstützt.

Globale API-Endpunkte:
  • cloudkms.googleapis.com
 Keine
Cloud HSM Regionale API-Endpunkte:
  • cloudkms.us-central1.rep.googleapis.com
  • cloudkms.us-central2.rep.googleapis.com
  • cloudkms.us-east1.rep.googleapis.com
  • cloudkms.us-east4.rep.googleapis.com
  • cloudkms.us-east5.rep.googleapis.com
  • cloudkms.us-east7.rep.googleapis.com
  • cloudkms.us-south1.rep.googleapis.com
  • cloudkms.us-west1.rep.googleapis.com
  • cloudkms.us-west2.rep.googleapis.com
  • cloudkms.us-west3.rep.googleapis.com
  • cloudkms.us-west4.rep.googleapis.com
  • cloudkms.us-west8.rep.googleapis.com

Locational API-Endpunkte werden nicht unterstützt.

Globale API-Endpunkte:
  • cloudkms.googleapis.com
 Keine
Cloud Interconnect Regionale API-Endpunkte werden nicht unterstützt.
Locational API-Endpunkte werden nicht unterstützt.

Globale API-Endpunkte:
  • compute.googleapis.com
 Betroffene Funktionen
Cloud Key Management Service (Cloud KMS) Regionale API-Endpunkte:
  • cloudkms.us-central1.rep.googleapis.com
  • cloudkms.us-central2.rep.googleapis.com
  • cloudkms.us-east1.rep.googleapis.com
  • cloudkms.us-east4.rep.googleapis.com
  • cloudkms.us-east5.rep.googleapis.com
  • cloudkms.us-east7.rep.googleapis.com
  • cloudkms.us-south1.rep.googleapis.com
  • cloudkms.us-west1.rep.googleapis.com
  • cloudkms.us-west2.rep.googleapis.com
  • cloudkms.us-west3.rep.googleapis.com
  • cloudkms.us-west4.rep.googleapis.com
  • cloudkms.us-west8.rep.googleapis.com

Locational API-Endpunkte werden nicht unterstützt.

Globale API-Endpunkte:
  • cloudkms.googleapis.com
 Keine
Cloud Load Balancing Regionale API-Endpunkte werden nicht unterstützt.
Locational API-Endpunkte werden nicht unterstützt.

Globale API-Endpunkte:
  • compute.googleapis.com
 Betroffene Funktionen
Cloud Logging Regionale API-Endpunkte:
  • logging.us-central1.rep.googleapis.com
  • logging.us-central2.rep.googleapis.com
  • logging.us-east1.rep.googleapis.com
  • logging.us-east4.rep.googleapis.com
  • logging.us-east5.rep.googleapis.com
  • logging.us-east7.rep.googleapis.com
  • logging.us-south1.rep.googleapis.com
  • logging.us-west1.rep.googleapis.com
  • logging.us-west2.rep.googleapis.com
  • logging.us-west3.rep.googleapis.com
  • logging.us-west4.rep.googleapis.com
  • logging.us-west8.rep.googleapis.com

Locational API-Endpunkte werden nicht unterstützt.

Globale API-Endpunkte:
  • logging.googleapis.com
 Betroffene Funktionen
Cloud Monitoring Regionale API-Endpunkte werden nicht unterstützt.
Locational API-Endpunkte werden nicht unterstützt.

Globale API-Endpunkte:
  • monitoring.googleapis.com
 Betroffene Funktionen
Cloud NAT Regionale API-Endpunkte werden nicht unterstützt.
Locational API-Endpunkte werden nicht unterstützt.

Globale API-Endpunkte:
  • networkconnectivity.googleapis.com
 Betroffene Funktionen
Cloud Router Regionale API-Endpunkte werden nicht unterstützt.
Locational API-Endpunkte werden nicht unterstützt.

Globale API-Endpunkte:
  • networkconnectivity.googleapis.com
 Betroffene Funktionen
Cloud Run Regionale API-Endpunkte werden nicht unterstützt.
Locational API-Endpunkte werden nicht unterstützt.

Globale API-Endpunkte:
  • run.googleapis.com
 Betroffene Funktionen
Cloud SQL Regionale API-Endpunkte werden nicht unterstützt.
Locational API-Endpunkte werden nicht unterstützt.

Globale API-Endpunkte:
  • sqladmin.googleapis.com
 Betroffene Funktionen
Cloud Storage Regionale API-Endpunkte:
  • storage.us-central1.rep.googleapis.com
  • storage.us-central2.rep.googleapis.com
  • storage.us-east1.rep.googleapis.com
  • storage.us-east4.rep.googleapis.com
  • storage.us-east5.rep.googleapis.com
  • storage.us-east7.rep.googleapis.com
  • storage.us-south1.rep.googleapis.com
  • storage.us-west1.rep.googleapis.com
  • storage.us-west2.rep.googleapis.com
  • storage.us-west3.rep.googleapis.com
  • storage.us-west4.rep.googleapis.com

Locational API-Endpunkte werden nicht unterstützt.

Globale API-Endpunkte:
  • storage.googleapis.com
 Betroffene Funktionen
Cloud VPN Regionale API-Endpunkte werden nicht unterstützt.
Locational API-Endpunkte werden nicht unterstützt.

Globale API-Endpunkte:
  • compute.googleapis.com
 Betroffene Funktionen
Compute Engine Regionale API-Endpunkte werden nicht unterstützt.
Locational API-Endpunkte werden nicht unterstützt.

Globale API-Endpunkte:
  • compute.googleapis.com
 Betroffene Funktionen und Einschränkungen für Organisationsrichtlinien
Dataflow Regionale API-Endpunkte:
  • dataflow.us-central1.rep.googleapis.com
  • dataflow.us-central2.rep.googleapis.com
  • dataflow.us-east1.rep.googleapis.com
  • dataflow.us-east4.rep.googleapis.com
  • dataflow.us-east5.rep.googleapis.com
  • dataflow.us-east7.rep.googleapis.com
  • dataflow.us-south1.rep.googleapis.com
  • dataflow.us-west1.rep.googleapis.com
  • dataflow.us-west2.rep.googleapis.com
  • dataflow.us-west3.rep.googleapis.com
  • dataflow.us-west4.rep.googleapis.com
  • dataflow.us-west8.rep.googleapis.com

Locational API-Endpunkte werden nicht unterstützt.

Globale API-Endpunkte:
  • dataflow.googleapis.com
  • datapipelines.googleapis.com
 Keine
Dataproc Regionale API-Endpunkte:
  • dataproc.us-central1.rep.googleapis.com
  • dataproc.us-central2.rep.googleapis.com
  • dataproc.us-east1.rep.googleapis.com
  • dataproc.us-east4.rep.googleapis.com
  • dataproc.us-east5.rep.googleapis.com
  • dataproc.us-east7.rep.googleapis.com
  • dataproc.us-south1.rep.googleapis.com
  • dataproc.us-west1.rep.googleapis.com
  • dataproc.us-west2.rep.googleapis.com
  • dataproc.us-west3.rep.googleapis.com
  • dataproc.us-west4.rep.googleapis.com
  • dataproc.us-west8.rep.googleapis.com

Locational API-Endpunkte werden nicht unterstützt.

Globale API-Endpunkte:
  • dataproc-control.googleapis.com
  • dataproc.googleapis.com
 Keine
Filestore Regionale API-Endpunkte werden nicht unterstützt.
Locational API-Endpunkte werden nicht unterstützt.

Globale API-Endpunkte:
  • file.googleapis.com
 Keine
Google Kubernetes Engine Regionale API-Endpunkte werden nicht unterstützt.
Locational API-Endpunkte werden nicht unterstützt.

Globale API-Endpunkte:
  • container.googleapis.com
  • containersecurity.googleapis.com
 Betroffene Funktionen und Einschränkungen für Organisationsrichtlinien
Identitäts- und Zugriffsverwaltung Regionale API-Endpunkte werden nicht unterstützt.
Locational API-Endpunkte werden nicht unterstützt.

Globale API-Endpunkte:
  • iam.googleapis.com
 Keine
Identity-Aware Proxy (IAP) Regionale API-Endpunkte werden nicht unterstützt.
Locational API-Endpunkte werden nicht unterstützt.

Globale API-Endpunkte:
  • iap.googleapis.com
 Keine
Network Connectivity Center Regionale API-Endpunkte werden nicht unterstützt.
Locational API-Endpunkte werden nicht unterstützt.

Globale API-Endpunkte:
  • networkconnectivity.googleapis.com
 Betroffene Funktionen
Persistent Disk Regionale API-Endpunkte werden nicht unterstützt.
Locational API-Endpunkte werden nicht unterstützt.

Globale API-Endpunkte:
  • compute.googleapis.com
 Keine
Pub/Sub Regionale API-Endpunkte:
  • pubsub.us-central1.rep.googleapis.com
  • pubsub.us-central2.rep.googleapis.com
  • pubsub.us-east1.rep.googleapis.com
  • pubsub.us-east4.rep.googleapis.com
  • pubsub.us-east5.rep.googleapis.com
  • pubsub.us-south1.rep.googleapis.com
  • pubsub.us-west1.rep.googleapis.com
  • pubsub.us-west2.rep.googleapis.com
  • pubsub.us-west3.rep.googleapis.com
  • pubsub.us-west4.rep.googleapis.com

Locational API-Endpunkte werden nicht unterstützt.

Globale API-Endpunkte:
  • pubsub.googleapis.com
 Keine
VPC Service Controls Regionale API-Endpunkte werden nicht unterstützt.
Locational API-Endpunkte werden nicht unterstützt.

Globale API-Endpunkte:
  • accesscontextmanager.googleapis.com
 Keine
Virtual Private Cloud (VPC) Regionale API-Endpunkte werden nicht unterstützt.
Locational API-Endpunkte werden nicht unterstützt.

Globale API-Endpunkte:
  • compute.googleapis.com
 Betroffene Funktionen

Limits und Einschränkungen

In den folgenden Abschnitten werden Google Cloud-weite oder produktspezifische Einschränkungen oder Einschränkungen für Funktionen beschrieben, einschließlich aller Einschränkungen von Organisationsrichtlinien, die standardmäßig für Ordner mit ITAR-Inhalten festgelegt sind. Andere anwendbare Einschränkungen für Organisationsrichtlinien, auch wenn sie nicht standardmäßig festgelegt sind, können eine zusätzliche „gestaffelte Sicherheitsebene“ bieten, um die Google Cloud Ressourcen Ihrer Organisation weiter zu schützen.

Google Cloudbreit

Einschränkungen fürGoogle Cloud-weite Organisationsrichtlinien

Die folgenden Einschränkungen für Organisationsrichtlinien gelten für Google Cloud.

Einschränkung der Organisationsrichtlinie Beschreibung
gcp.resourceLocations Legen Sie in der Liste allowedValues die folgenden Standorte fest:
  • us
  • us-central1
  • us-central2
  • us-east1
  • us-east4
  • us-east5
  • us-south1
  • us-west1
  • us-west2
  • us-west3
  • us-west4
Dieser Wert beschränkt das Erstellen neuer Ressourcen nur auf die ausgewählte Wertgruppe. Wenn diese Option festgelegt ist, können keine Ressourcen in anderen Regionen, in mehreren Regionen oder an Standorten außerhalb der Auswahl erstellt werden. Wenn Sie diesen Wert ändern, indem Sie ihn weniger einschränken, untergraben Sie möglicherweise den Datenstandort, indem Sie das Erstellen oder Speichern von Daten außerhalb einer richtlinienkonformen Datengrenze zulassen. Weitere Informationen finden Sie in der Dokumentation zu Wertgruppen für Organisationsrichtlinien.
gcp.restrictCmekCryptoKeyProjects Legen Sie under:organizations/your-organization-name fest, die Assured Workloads-Organisation. Sie können diesen Wert weiter einschränken, indem Sie ein Projekt oder einen Ordner angeben.

Beschränkt den Bereich genehmigter Ordner oder Projekte, die Cloud KMS-Schlüssel für die Verschlüsselung von Daten im Ruhzustand mithilfe von CMEK bereitstellen können. Diese Einschränkung verhindert, dass nicht genehmigte Ordner oder Projekte Verschlüsselungsschlüssel bereitstellen. Dadurch sorgt die Datenhoheit für inaktive Daten innerhalb des Geltungsbereichs.
gcp.restrictNonCmekServices Legen Sie eine Liste aller API-Dienstnamen innerhalb des Geltungsbereichs fest, einschließlich:
  • bigquery.googleapis.com
  • compute.googleapis.com
  • container.googleapis.com
  • storage.googleapis.com
Einige Funktionen können für jeden der oben aufgeführten Dienste betroffen sein.

Für jeden aufgeführten Dienst sind vom Kunden verwaltete Verschlüsselungsschlüssel (CMEK) erforderlich. Mit CMEK können inaktive Daten mit einem von Ihnen verwalteten Schlüssel verschlüsselt werden, nicht mit den Standardverschlüsselungsmechanismen von Google.

Wenn Sie diesen Wert ändern, indem Sie einen oder mehrere Dienste innerhalb des Geltungsbereichs aus der Liste entfernen, kann dies die Datenhoheit untergraben, da neue Daten im Ruhezustand automatisch mit den eigenen Schlüsseln von Google anstelle Ihrer Schlüssel verschlüsselt werden. Vorhandene inaktive Daten bleiben mit dem von Ihnen angegebenen Schlüssel verschlüsselt.
gcp.restrictServiceUsage Legen Sie fest, dass alle unterstützten Produkte und API-Endpunkte zugelassen werden.

Bestimmt, welche Dienste aktiviert und verwendet werden können. Weitere Informationen finden Sie unter Ressourcennutzung einschränken.
gcp.restrictTLSVersion Legen Sie fest, dass die folgenden TLS-Versionen abgelehnt werden sollen:
  • TLS_1_0
  • TLS_1_1
Weitere Informationen finden Sie auf der Seite TLS-Versionen einschränken.

BigQuery

Betroffene BigQuery-Funktionen

Funktion Beschreibung
BigQuery für einen neuen Ordner aktivieren BigQuery wird unterstützt, wird aber aufgrund eines internen Konfigurationsvorgangs nicht automatisch aktiviert, wenn Sie einen neuen Ordner für abgesicherte Arbeitslasten erstellen. Dieser Vorgang dauert normalerweise zehn Minuten, kann aber in einigen Fällen auch viel länger dauern. So prüfen Sie, ob der Vorgang abgeschlossen ist, und aktivieren BigQuery:
  1. Rufen Sie in der Google Cloud Console die Seite Assured Workloads auf.

    Zu „Assured Workloads“

  2. Wählen Sie in der Liste den neuen Assured Workloads-Ordner aus.
  3. Klicken Sie auf der Seite Ordnerdetails im Bereich Zulässige Dienste auf Verfügbare Updates prüfen.
  4. Überprüfen Sie im Bereich Zugelassene Dienste die Dienste, die der Organisationsrichtlinie Einschränkung der Ressourcennutzung für den Ordner hinzugefügt werden sollen. Wenn BigQuery-Dienste aufgeführt sind, klicken Sie auf Dienste zulassen, um sie hinzuzufügen.

    Wenn BigQuery-Dienste nicht aufgeführt sind, warten Sie, bis der interne Vorgang abgeschlossen ist. Wenn die Dienste nicht innerhalb von 12 Stunden nach dem Erstellen des Ordners aufgeführt werden, wenden Sie sich an Cloud Customer Care.

Sobald die Aktivierung abgeschlossen ist, können Sie BigQuery in Ihrem Assured Workloads-Ordner verwenden.

Gemini in BigQuery wird von Assured Workloads nicht unterstützt.
Konforme BigQuery APIs Die folgenden BigQuery APIs sind ITAR-konform:
Regionen BigQuery ist ITAR-konform für alle BigQuery-Regionen in den USA mit Ausnahme der Multiregion „USA“. Die Einhaltung der ITAR kann nicht garantiert werden, wenn ein Datensatz in einer Multi-Region in den USA, in einer Region außerhalb der USA oder in einer Multi-Region außerhalb der USA erstellt wird. Sie sind dafür verantwortlich, beim Erstellen von BigQuery-Datasets eine ITAR-konforme Region anzugeben.
Abfragen zu ITAR-Datasets aus nicht ITAR-Projekten In BigQuery kann nicht verhindert werden, dass ITAR-Datasets aus nicht ITAR-Projekten abgefragt werden. Achten Sie darauf, dass alle Abfragen, die einen Lese- oder Join-Vorgang auf technische ITAR-Daten anwenden, in einem ITAR-konformen Ordner abgelegt werden.
Verbindungen zu externen Datenquellen herstellen Die Compliance-Verantwortung von Google ist auf die BigQuery Connection API beschränkt. Sie sind dafür verantwortlich, dass die Quellprodukte, die mit der BigQuery Connection API verwendet werden, den Anforderungen entsprechen.
Nicht unterstützte Funktionen Die folgenden BigQuery-Features werden nicht unterstützt und sollten nicht in der BigQuery-Befehlszeile verwendet werden. Sie sind dafür verantwortlich, sie nicht in BigQuery für Assured Workloads zu verwenden.
BigQuery-Befehlszeile Die BigQuery-Befehlszeile wird unterstützt.

Google Cloud SDK Sie müssen mindestens die Google Cloud SDK-Version 403.0.0 verwenden, um Garantien für die Datenregionalisierung für technische Daten aufrechtzuerhalten. Führen Sie gcloud --version und dann gcloud components update aus, um die aktuelle Google Cloud SDK-Version zu prüfen und auf die neueste Version zu aktualisieren.
Steuerelemente für Administratoren In BigQuery werden nicht unterstützte APIs deaktiviert. Administratoren mit ausreichenden Berechtigungen zum Erstellen eines Ordners für gesicherte Arbeitslasten können eine nicht unterstützte API jedoch aktivieren. In diesem Fall werden Sie über das Dashboard für das Assured Workloads-Monitoring über potenzielle Nichteinhaltung informiert.
Daten laden BigQuery Data Transfer Service-Connectors für Google-SaaS-Anwendungen (Software as a Service), externe Cloud-Speicheranbieter und Data Warehouses werden nicht unterstützt. Sie sind dafür verantwortlich, BigQuery Data Transfer Service-Connectors nicht für ITAR-Arbeitslasten zu verwenden.
Drittanbieter-Übertragungen BigQuery prüft nicht, ob Drittanbieter-Übertragungen für den BigQuery Data Transfer Service unterstützt werden. Sie sind dafür verantwortlich, den Support zu prüfen, wenn Sie eine Übertragung von Drittanbietern für den BigQuery Data Transfer Service verwenden.
Nicht konforme BQML-Modelle Extern trainierte BQML-Modelle werden nicht unterstützt.
Abfragejobs Abfragejobs sollten nur in Assured Workloads-Ordnern erstellt werden.
Abfragen zu Datensätzen in anderen Projekten In BigQuery wird nicht verhindert, dass Assured Workloads-Datasets von Projekten abgefragt werden, die nicht zu Assured Workloads gehören. Achten Sie darauf, dass alle Abfragen, die Lese- oder Join-Vorgänge auf Assured Workloads-Daten umfassen, in einem Assured Workloads-Ordner abgelegt werden. Sie können mit projectname.dataset.table in der BigQuery-Befehlszeile einen voll qualifizierten Tabellennamen für das Abfrageergebnis angeben.
Cloud Logging BigQuery verwendet Cloud Logging für einige Ihrer Protokolldaten. Sie sollten Ihre _default-Logging-Buckets deaktivieren oder _default-Buckets auf die entsprechenden Regionen beschränken, um die Compliance aufrechtzuerhalten. Verwenden Sie dazu den folgenden Befehl:

gcloud alpha logging settings update --organization=ORGANIZATION_ID --disable-default-sink

Weitere Informationen finden Sie unter Logs regionalisieren.

Compute Engine

Betroffene Compute Engine-Funktionen

Funktion Beschreibung
VM-Instanz anhalten bzw. fortsetzen Die Funktion ist deaktiviert.

Das Anhalten und Fortsetzen einer VM-Instanz erfordert nichtflüchtigen Speicher. Der nichtflüchtige Speicher, der zum Speichern des Status der angehaltenen VM verwendet wird, kann derzeit nicht mit CMEK verschlüsselt werden. Im Abschnitt oben finden Sie die Einschränkung der Organisationsrichtlinie gcp.restrictNonCmekServices. Dort erfahren Sie, welche Auswirkungen die Aktivierung dieser Funktion auf die Datensouveränität und den Datenspeicherort hat.
Lokale SSDs Die Funktion ist deaktiviert.

Sie können keine Instanz mit lokalen SSDs erstellen, da sie derzeit nicht mit CMEK verschlüsselt werden kann. Im Abschnitt oben finden Sie die Einschränkung der Organisationsrichtlinie gcp.restrictNonCmekServices. Dort erfahren Sie, welche Auswirkungen die Aktivierung dieser Funktion auf die Datensouveränität und den Datenspeicherort hat.
Google Cloud Console Die folgenden Compute Engine-Features sind in der Google Cloud Console nicht verfügbar. Verwenden Sie stattdessen die API oder die Google Cloud CLI:
VMs der Bare-Metal-Lösung Sie sind dafür verantwortlich, keine Bare-Metal-Lösungs-VMs (o2-VMs) zu verwenden, da diese nicht den ITAR-Bestimmungen entsprechen.

Google Cloud VMware Engine-VMs Sie sind dafür verantwortlich, keine Google Cloud VMware Engine-VMs zu verwenden, da diese nicht den ITAR-Bestimmungen entsprechen.

C3-VM-Instanz erstellen Diese Funktion ist deaktiviert.
Nichtflüchtige Speicher oder ihre Snapshots ohne CMEK verwenden Sie können nichtflüchtige Speicher oder ihre Snapshots nur verwenden, wenn sie mit CMEK verschlüsselt wurden.
Verschachtelte VMs oder VMs mit verschachtelter Virtualisierung erstellen Sie können keine verschachtelten VMs oder VMs mit verschachtelter Virtualisierung erstellen.

Diese Funktion ist aufgrund der Organisationsrichtlinieneinschränkung compute.disableNestedVirtualization deaktiviert.
Instanzgruppe einem globalen Load Balancer hinzufügen Sie können einem globalen Load Balancer keine Instanzgruppe hinzufügen.

Diese Funktion ist aufgrund der Organisationsrichtlinieneinschränkung compute.disableGlobalLoadBalancing deaktiviert.
Anfragen an einen multiregionalen externen HTTPS-Load Balancer weiterleiten Sie können Anfragen nicht an einen multiregionalen externen HTTPS-Load Balancer weiterleiten.

Diese Funktion ist aufgrund der Einschränkung der Organisationsrichtlinie compute.restrictLoadBalancerCreationForTypes deaktiviert.
Nichtflüchtigen SSD-Speicher im Modus für mehrere Autoren freigeben Sie können einen nichtflüchtigen SSD-Speicher im Modus für mehrere Autoren nicht für VM-Instanzen freigeben.
VM-Instanz anhalten und fortsetzen Die Funktion ist deaktiviert.

Das Anhalten und Fortsetzen einer VM-Instanz erfordert nichtflüchtigen Speicher. Der nichtflüchtige Speicher, der zum Speichern des Status der angehaltenen VM verwendet wird, kann nicht mit CMEK verschlüsselt werden.

Diese Funktion ist aufgrund der Einschränkung der Organisationsrichtlinie gcp.restrictNonCmekServices deaktiviert.
Lokale SSDs Die Funktion ist deaktiviert.

Sie können keine Instanz mit lokalen SSDs erstellen, da sie nicht mit CMEK verschlüsselt werden können.

Diese Funktion ist aufgrund der Einschränkung der Organisationsrichtlinie gcp.restrictNonCmekServices deaktiviert.
Gastumgebung Skripts, Daemons und Binärdateien, die in der Gastumgebung enthalten sind, können auf unverschlüsselte Daten sowie inaktive Daten zugreifen. Abhängig von Ihrer VM-Konfiguration können Aktualisierungen dieser Software standardmäßig installiert werden. Ausführliche Informationen zum Inhalt, zum Quellcode und zu den einzelnen Paketen finden Sie unter Gastumgebung.

Diese Komponenten tragen dazu bei, dass Sie die Datenhoheit durch interne Sicherheitskontrollen und -prozesse erfüllen. Wenn Sie jedoch zusätzliche Kontrolle wünschen, können Sie auch eigene Bilder oder Kundenservicemitarbeiter auswählen und optional die Organisationsrichtlinieneinschränkung compute.trustedImageProjects verwenden.

Weitere Informationen finden Sie auf der Seite Benutzerdefiniertes Image erstellen.
instances.getSerialPortOutput() Diese API ist deaktiviert. Mit der API können Sie keine Ausgabe vom seriellen Port der angegebenen Instanz abrufen.

Ändern Sie den Wert der Einschränkung der Organisationsrichtlinie compute.disableInstanceDataAccessApis in False, um diese API zu aktivieren. Sie können den interaktiven seriellen Port auch aktivieren und verwenden. Folgen Sie dazu der Anleitung unter Zugriff für ein Projekt aktivieren.
instances.getScreenshot() Diese API ist deaktiviert. Mit der API können Sie keinen Screenshot von der angegebenen Instanz erhalten.

Ändern Sie den Wert der Einschränkung der Organisationsrichtlinie compute.disableInstanceDataAccessApis in False, um diese API zu aktivieren. Sie können den interaktiven seriellen Port auch aktivieren und verwenden. Folgen Sie dazu der Anleitung unter Zugriff für ein Projekt aktivieren.

Einschränkungen für Compute Engine-Organisationsrichtlinien

Einschränkung der Organisationsrichtlinie Beschreibung
compute.enableComplianceMemoryProtection Auf True festlegen.

Deaktiviert einige interne Diagnosefunktionen, um bei einem Infrastrukturfehler zusätzlichen Speicherinhalt zu bieten.

Die Änderung dieses Werts kann sich auf den Datenstandort oder die Datenhoheit Ihrer Arbeitslast auswirken.
compute.disableGlobalCloudArmorPolicy Auf True festlegen.

Deaktiviert das Erstellen neuer globaler Google Cloud Armor-Sicherheitsrichtlinien sowie das Hinzufügen oder Ändern von Regeln für vorhandene globale Google Cloud Armor-Sicherheitsrichtlinien. Das Entfernen von Regeln oder das Entfernen, Beschreiben oder Auflisten globaler Google Cloud Armor-Sicherheitsrichtlinien wird durch diese Beschränkung nicht eingeschränkt. Regionale Google Cloud Armor-Sicherheitsrichtlinien sind von dieser Einschränkung nicht betroffen. Alle globalen und regionalen Sicherheitsrichtlinien, die vor der Erzwingung dieser Beschränkung vorhanden waren, bleiben in Kraft.
compute.disableGlobalLoadBalancing Auf True festlegen.

Deaktiviert das Erstellen von globalen Load-Balancing-Produkten.

Die Änderung dieses Werts kann sich auf den Datenstandort oder die Datenhoheit Ihrer Arbeitslast auswirken.
compute.disableGlobalSelfManagedSslCertificate Auf True festlegen.

Deaktiviert das Erstellen globaler selbstverwalteter SSL-Zertifikate.

Die Änderung dieses Werts kann sich auf den Datenstandort oder die Datenhoheit Ihrer Arbeitslast auswirken.
compute.disableInstanceDataAccessApis Auf True festlegen.

Deaktiviert global die APIs instances.getSerialPortOutput() und instances.getScreenshot().

Wenn Sie diese Einschränkung aktivieren, können Sie keine Anmeldedaten auf Windows Server-VMs generieren.

Wenn Sie einen Nutzernamen und ein Passwort auf einer Windows-VM verwalten möchten, gehen Sie so vor:
  1. Aktivieren Sie SSH für Windows-VMs.
  2. Führen Sie den folgenden Befehl aus, um das Passwort der VM zu ändern: 
      gcloud compute ssh
  VM_NAME --command "net user USERNAME PASSWORD"
    Replace the following:
    • VM_NAME: Der Name der VM, für die Sie das Passwort festlegen.
    • USERNAME: Der Nutzername des Nutzers, für den Sie das Passwort festlegen.
    • PASSWORD: Das neue Passwort.
compute.disableNonFIPSMachineTypes Auf True festlegen.

Das Erstellen von VM-Instanztypen, die nicht den FIPS-Anforderungen entsprechen, wird deaktiviert.
compute.restrictNonConfidentialComputing

 (Optional) Wert ist nicht festgelegt. Legen Sie diesen Wert fest, um eine zusätzliche Verteidigungsebene zu schaffen. Weitere Informationen finden Sie in der Dokumentation zu Confidential VMs.
compute.trustedImageProjects

 (Optional) Wert ist nicht festgelegt. Legen Sie diesen Wert fest, um eine zusätzliche Verteidigungsebene zu schaffen.

Durch Festlegen dieses Werts wird die Image-Speicherung und Instanziierung von Laufwerken auf die angegebene Liste von Projekten beschränkt. Dieser Wert wirkt sich auf die Datenhoheit aus, da nicht autorisierte Images oder Agents nicht verwendet werden.

Cloud DNS

Betroffene Cloud DNS-Funktionen

Funktion Beschreibung
Google Cloud Console Cloud DNS-Funktionen sind in der Google Cloud Console nicht verfügbar. Verwenden Sie stattdessen die API oder die Google Cloud CLI.

Google Kubernetes Engine

Betroffene Google Kubernetes Engine-Features

Funktion Beschreibung
Einschränkungen für Clusterressourcen Achten Sie darauf, dass in Ihrer Clusterkonfiguration keine Ressourcen für Dienste verwendet werden, die im ITAR-Compliance-Programm nicht unterstützt werden. Die folgende Konfiguration ist beispielsweise ungültig, da ein nicht unterstützter Dienst aktiviert oder verwendet werden muss:

set `binaryAuthorization.evaluationMode` to `enabled`

Einschränkungen für Organisationsrichtlinien von Google Kubernetes Engine

Einschränkung der Organisationsrichtlinie Beschreibung
container.restrictNoncompliantDiagnosticDataAccess Auf True festlegen.

Deaktiviert die aggregierte Analyse von Kernel-Problemen, was für die unabhängige Kontrolle einer Arbeitslast erforderlich ist.

Die Änderung dieses Werts kann sich auf den Datenstandort oder die Datenhoheit Ihrer Arbeitslast auswirken.

Cloud Interconnect

Betroffene Cloud Interconnect-Funktionen

Funktion Beschreibung
Google Cloud Console Cloud Interconnect-Funktionen sind in der Google Cloud Console nicht verfügbar. Verwenden Sie stattdessen die API oder die Google Cloud CLI.
Hochverfügbarkeits-VPN Sie müssen die VPN-Funktion mit Hochverfügbarkeit (HA) aktivieren, wenn Sie Cloud Interconnect mit Cloud VPN verwenden. Außerdem müssen Sie die Verschlüsselungs- und Regionalisierungsanforderungen einhalten, die im Abschnitt Betroffene Cloud VPN-Funktionen aufgeführt sind.

Cloud Load Balancing

Betroffene Cloud Load Balancing-Funktionen

Funktion Beschreibung
Google Cloud Console Cloud Load Balancing-Funktionen sind in der Google Cloud Console nicht verfügbar. Verwenden Sie stattdessen die API oder die Google Cloud CLI.
Regionale Load Balancer Sie dürfen nur regionale Load Balancer mit ITAR verwenden. Weitere Informationen zum Konfigurieren regionaler Load Balancer finden Sie auf den folgenden Seiten:

Cloud Logging

Betroffene Cloud Logging-Funktionen

Funktion Beschreibung
Logsenken Filter dürfen keine Kundendaten enthalten.

Logsenken enthalten Filter, die als Konfiguration gespeichert sind. Erstellen Sie keine Filter, die Kundendaten enthalten.
Live-Tailing-Logeinträge Filter dürfen keine Kundendaten enthalten.

Eine Live-Verfolgungs-Sitzung enthält einen Filter, der als Konfiguration gespeichert wird. In Tailing-Logs werden keine Logeintragsdaten gespeichert, sie können jedoch Daten zwischen Regionen abfragen und übertragen. Erstellen Sie keine Filter, die Kundendaten enthalten.
Logbasierte Benachrichtigungen Die Funktion ist deaktiviert.

In der Google Cloud Console können Sie keine protokollbasierten Benachrichtigungen erstellen.
Gekürzte URLs für Log-Explorer-Abfragen Die Funktion ist deaktiviert.

In der Google Cloud Console können Sie keine verkürzten URLs von Abfragen erstellen.
Abfragen im Log-Explorer speichern Die Funktion ist deaktiviert.

In der Google Cloud Console können Sie keine Abfragen speichern.
Loganalysen mit BigQuery Die Funktion ist deaktiviert.

Sie können die Log Analytics-Funktion nicht verwenden.
SQL-basierte Benachrichtigungsrichtlinien Die Funktion ist deaktiviert.

Sie können die Funktion „SQL-basierte Benachrichtigungsrichtlinien“ nicht verwenden.

Cloud Monitoring

Betroffene Cloud Monitoring-Funktionen

Funktion Beschreibung
Synthetischer Monitor Die Funktion ist deaktiviert.
Verfügbarkeitsdiagnose Die Funktion ist deaktiviert.
Logbereich-Widgets in Dashboards Die Funktion ist deaktiviert.

Sie können einem Dashboard kein Protokollfeld hinzufügen.
Widgets für den Bereich „Error Reporting“ in Dashboards Die Funktion ist deaktiviert.

Sie können einem Dashboard kein Steuerfeld für Fehlerberichte hinzufügen.
In EventAnnotation nach Dashboards filtern Die Funktion ist deaktiviert.

Der Filter für EventAnnotation kann nicht in einem Dashboard festgelegt werden.
SqlCondition in alertPolicies Die Funktion ist deaktiviert.

Sie können einem alertPolicy kein SqlCondition hinzufügen.

Cloud NAT

Betroffene Cloud NAT-Funktionen

Funktion Beschreibung
Google Cloud Console Cloud NAT-Funktionen sind in der Google Cloud Console nicht verfügbar. Verwenden Sie stattdessen die API oder die Google Cloud CLI.

Network Connectivity Center

Betroffene Network Connectivity Center-Funktionen

Funktion Beschreibung
Google Cloud Console Die Funktionen des Network Connectivity Centers sind in der Google Cloud Console nicht verfügbar. Verwenden Sie stattdessen die API oder die Google Cloud CLI.

Pub/Sub

Einschränkungen für Pub/Sub-Organisationsrichtlinien

Einschränkung der Organisationsrichtlinie Beschreibung
pubsub.enforceInTransitRegions Auf True festlegen.

Damit wird sichergestellt, dass Kundendaten nur innerhalb der Regionen übertragen werden, die in der Nachrichtenspeicherrichtlinie für das Pub/Sub-Thema als zulässig festgelegt sind.

Die Änderung dieses Werts kann sich auf den Datenstandort oder die Datenhoheit Ihrer Arbeitslast auswirken.

Cloud Router

Betroffene Cloud Router-Funktionen

Funktion Beschreibung
Google Cloud Console Cloud Router-Funktionen sind in der Google Cloud Console nicht verfügbar. Verwenden Sie stattdessen die API oder die Google Cloud CLI.

Cloud Run

Betroffene Cloud Run-Funktionen

Funktion Beschreibung
Nicht unterstützte Funktionen Die folgenden Cloud Run-Funktionen werden nicht unterstützt:

Cloud SQL

Betroffene Cloud SQL-Features

Funktion Beschreibung
Export in CSV Der Export in CSV-Dateien ist nicht ITAR-konform und sollte nicht verwendet werden. Diese Funktion ist in der Google Cloud Console deaktiviert.
executeSql Die executeSql-Methode der Cloud SQL API entspricht nicht den ITAR-Bestimmungen und sollte nicht verwendet werden.

Cloud Storage

Betroffene Cloud Storage-Funktionen

Funktion Beschreibung
Google Cloud Console Um die ITAR-Compliance aufrechtzuerhalten, sind Sie dafür verantwortlich, die Google Cloud Console für die Rechtsprechung zu verwenden. Die Jurisdictional Console verhindert das Hoch- und Herunterladen von Cloud Storage-Objekten. Informationen zum Hochladen und Herunterladen von Cloud Storage-Objekten finden Sie in dieser Spalte unter API-Endpunkte mit Konformitätsanforderungen.
Konforme API-Endpunkte Sie müssen einen der ITAR-konformen regionalen Endpunkte mit Cloud Storage verwenden. Weitere Informationen finden Sie unter Regionale Cloud Storage-Endpunkte und Cloud Storage-Standorte.
Beschränkungen Sie müssen regionale Cloud Storage-Endpunkte verwenden, um ITAR-konform zu sein. Weitere Informationen zu regionalen Cloud Storage-Endpunkten für ITAR finden Sie unter Regionale Cloud Storage-Endpunkte.

Die folgenden Vorgänge werden von regionalen Endpunkten nicht unterstützt. Bei diesen Vorgängen werden jedoch keine Kundendaten im Sinne der Nutzungsbedingungen für den Datenstandort übertragen. Daher können Sie bei Bedarf globale Endpunkte für diese Vorgänge verwenden, ohne gegen die ITAR-Compliance zu verstoßen:
Kopieren und Umschreiben für Objekte Kopier- und Umschreibvorgänge für Objekte werden von regionalen Endpunkten unterstützt, wenn sich sowohl der Quell- als auch der Ziel-Bucket in der im Endpunkt angegebenen Region befinden. Sie können jedoch keine regionalen Endpunkte verwenden, um ein Objekt von einem Bucket in einen anderen zu kopieren oder umzuschreiben, wenn sich die Buckets an verschiedenen Standorten befinden. Es ist möglich, globale Endpunkte zu verwenden, um Daten an verschiedenen Standorten zu kopieren oder neu zu schreiben. Wir empfehlen dies jedoch nicht, da dies gegen die ITAR-Compliance verstoßen kann.

Virtual Private Cloud (VPC)

Betroffene VPC-Funktionen

Funktion Beschreibung
Google Cloud Console VPC-Netzwerkfunktionen sind in der Google Cloud Console nicht verfügbar. Verwenden Sie stattdessen die API oder die Google Cloud CLI.

Cloud VPN

Betroffene Cloud VPN-Funktionen

Funktion Beschreibung
Google Cloud Console Cloud VPN-Funktionen sind in der Google Cloud Console nicht verfügbar. Verwenden Sie stattdessen die API oder die Google Cloud CLI.
Verschlüsselung Beim Erstellen von Zertifikaten und Konfigurieren der IP-Sicherheit dürfen nur FIPS 140-2-konforme Chiffren verwendet werden. Weitere Informationen zu den in Cloud VPN unterstützten Chiffren finden Sie auf der Seite Unterstützte IKE-Chiffren. Hinweise zur Auswahl einer Chiffre, die den FIPS 140-2-Standards entspricht, finden Sie auf der Seite Validierung gemäß FIPS 140-2.

Eine vorhandene Chiffre in Google Cloudkann nicht geändert werden. Achten Sie darauf, dass Sie auf Ihrer Drittanbieter-Appliance auch die Chiffre konfigurieren, die Sie mit Cloud VPN verwenden.
VPN-Endpunkte Sie dürfen nur Cloud VPN-Endpunkte verwenden, die sich in den USA befinden. Achten Sie darauf, dass Ihr VPN-Gateway nur für die Verwendung in einer US-Region konfiguriert ist.

Nächste Schritte